La validación FIPS 140-2 es obligatoria para su uso en departamentos del gobierno federal que recopilan, almacenan, transfieren, comparten y difunden información sensible pero no clasificada (SBU) Esto se aplica a todos los agencias, así como sus contratistas y proveedores de servicios, incluidos los proveedores de redes y servicios en la nube.
¿Cuáles son los requisitos de FIPS 140-2?
FIPS 140-2 requiere que cualquier módulo criptográfico de hardware o software implemente algoritmos de una lista aprobada. Los algoritmos validados por FIPS cubren técnicas de encriptación simétrica y asimétrica, así como el uso de estándares hash y autenticación de mensajes.
¿Necesito cumplir con FIPS?
Todos los departamentos y agencias federales deben usar FIPS 180 para proteger la información confidencial no clasificada y las aplicaciones federales. Los algoritmos hash seguros se pueden usar con otros algoritmos criptográficos, como códigos de autenticación de mensajes hash con clave o generadores de números aleatorios.
¿Cuál es la diferencia entre FIPS 140-2 y FIPS 140 3?
Aunque tanto FIPS 140-2 como FIPS 140-3 incluyen las cuatro interfaces lógicas de entrada de datos, salida de datos, entrada de control y salida de estado… En lugar de requerir soporte de módulo para roles de oficial de criptografía y usuario con el rol de mantenimiento como opcional, FIPS 140-3 solo requiere el rol de oficial de criptografía.
¿Cómo verifico el cumplimiento de FIPS 140-2?
Hay dos maneras de asegurarle a su gerencia que se está implementando FIPS 140-2. Una es contratar a un consultor especializado en el estándar, como Rycombe Consulting o Corsec Security Estas empresas proporcionan la documentación necesaria para el procedimiento de certificación, que puede utilizar para probar la implementación.
